Google beschreibt die Kampagne in einem in dieser Woche veröffentlichten Bericht. UNC6508 und die verwendete REDCap-Hintertür sind dabei keine neuen Bezeichnungen: Bereits im Februar hatte Google beides in einem breiter angelegten Bericht über staatlich unterstützte Angriffe auf den Verteidigungssektor erwähnt.

Im Zentrum steht REDCap, kurz für Research Electronic Data Capture, eine Webplattform, mit der Krankenhäuser und Universitäten Studiendatenbanken aufbauen und verwalten. Nach Angaben von GTIG kompromittierte UNC6508 öffentlich erreichbare REDCap-Server. Den initialen Zugriffsweg konnte Google bislang nicht eindeutig bestimmen; eine konkrete CVE-Nummer oder betroffene Versionen nennt der Bericht nicht. Beobachtet habe man aber, dass die Gruppe ältere, verwundbare Installationen sondierte.

Rund drei Monate nach dem Eindringen setzte die Gruppe eine maßgeschneiderte Schadsoftware ein, die GTIG als INFINITERED bezeichnet. Diese manipuliert REDCap-Systemdateien. Die früheste bekannte Kompromittierung datiert laut Google auf September 2023, die Aktivitäten hielten bis November 2025 an. Nach dem Zugriff auf den Server führte UNC6508 interne Aufklärung und die Suche nach Zugangsdaten durch, zog Datenbank- und Dienstkonten-Zugangsdaten ab und bewegte sich damit weiter ins interne Netzwerk bis hin zu einem Domänenadministrator-Konto. Den genauen Weg zu diesem Administratorkonto beschreibt Google nicht.

Mit Administratorrechten richtete die Gruppe dann den eigentlichen Exfiltrationskanal ein. Missbraucht wurden sogenannte Inhalts-Compliance-Regeln in Google Workspace, also eine legitime Verwaltungsfunktion, die E-Mails nach Schlüsselwörtern durchsuchen und passende Nachrichten kopieren oder weiterleiten kann. UNC6508 legte eine Regel mit der fehlerhaft geschriebenen Bezeichnung „Patroit“ an. Sie überwachte laut Google fast 150 Schlüsselwörter, Suchbegriffe und E-Mail-Adressen. Traf eine Nachricht auf diese Kriterien zu, wurde sie per Blindkopie unbemerkt an eine von den Angreifern kontrollierte Gmail-Adresse gesendet, die Google inzwischen deaktiviert hat.

Der Ansatz fiel laut GTIG deshalb auf, weil dafür weder Schadsoftware auf dem Mailserver noch ein separates Werkzeug für den Datenabfluss und auch kein auffälliger Netzwerkverkehr nötig waren. Stattdessen wurde eine eingebaute Cloud-Funktion zum Kopieren sensibler Kommunikation genutzt. MITRE führt den Missbrauch von E-Mail-Weiterleitungsregeln bereits als bekannte Technik. Neu sei hier nach Einschätzung von GTIG, dass dafür Domänen-Inhalts-Compliance-Regeln verwendet wurden; bei einem China-nahen Akteur habe Google diese Methode bislang nicht beobachtet.

Die in der Regel hinterlegten Begriffe spiegelten laut Google die Aufklärungsinteressen von UNC6508 wider: geopolitische Strategie, Militärstrategie und -ausrüstung, fortgeschrittene Technologien einschließlich KI und unbemannter Systeme, offensive Cyberprogramme sowie medizinische Forschung. Besonders spezifisch war dem Bericht zufolge der Begriff Chikungunya, das von Mücken übertragene Virus hinter einem Ausbruch 2025 in der chinesischen Provinz Guangdong.

Als Gegenmaßnahmen empfiehlt Google, öffentlich erreichbare REDCap-Server zu patchen und alte Versionen vollständig zu entfernen, statt sie parallel zur aktuellen Version weiter zu betreiben. REDCap erlaube den Parallelbetrieb älterer Versionen, was Herabstufungsangriffe begünstige, bei denen Angreifer die Software auf eine bekannt verwundbare Version zurückzwingen. Auf der Mailseite sollten Administratoren Inhalts-Compliance- und Weiterleitungsregeln in Workspace oder vergleichbaren Plattformen auf Blindkopien oder Umleitungen an externe Adressen prüfen, Audit-Protokolle zu Regeländerungen kontrollieren, die von GTIG veröffentlichten Indikatoren auswerten und nach INFINITERED suchen. Außerdem verweist Google auf phishing-resistente Mehrfaktor-Authentifizierung für Administratorkonten, weil der E-Mail-Diebstahl auf Administratorzugriff beruhte.